FortiGuard Labs details an active Ousaban banking Trojan campaign targeting users in Spain and Portugal. The attack chain begins with a phishing PDF disguised as a corrupted file, directing victims to a geofenced malicious webpage that performs server-side environment checks (IP, language, timezone, VPN detection, browser fingerprinting) before delivering a VBS downloader. The VBS script retrieves a steganographic image containing a hidden ZIP archive with the Ousaban payload. Once executed, Ousaban establishes persistence via a registry Run key, monitors browser access to specific banks, and resolves its C2 address through daily-rotating DDNS hostnames derived from an MD5 hash of a hard-coded string and the current date — using Google's Automated Queries page to obtain the date. A Pastebin link containing a private IP serves as a decoy. The malware supports screenshot capture, keylogging, clipboard injection, and remote control. The post includes full IOCs (domains, IPs, file hashes) and details the custom XOR-based encryption algorithm shared with other Latin American banking Trojans like Casbaneiro.
Nguồn: https://feeds.fortinet.com/~/958831322/0/fortinet/blog/threat-research~Analysis-of-Ongoing-Ousaban-Attacks-Targeting-the-Iberian-Peninsula. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
Kaspersky MDR uncovered a large-scale malware campaign after investigating a single ScreenConnect incident. Threat actors built a network of 90+ spoofed freeware download sites (mimicking OBS Studio, DNS Jumper, DS4Windows, Bandicam, and others) optimized with SEO to rank in Google and Bing results. Victims downloading from these sites receive a ZIP archive containing a legitimate Microsoft-signed binary alongside a malicious DLL loaded via DLL sideloading. This silently installs ScreenConnect as a hidden service, which then deploys AsyncRAT through a multi-stage chain involving PowerShell, VBScript, XOR-decrypted shellcode, and process hollowing into RegAsm.exe. The campaign, active from October 2025 through March 2026, spans 10 languages and targets both individual users and corporate networks. Mitigations include application allowlisting, blocking MSI execution from untrusted sources, monitoring for new remote admin services, and user training on safe download practices. Full IOCs including C2 domains, malicious hashes, and fake site addresses are provided.
Kẻ tấn công mạng đang khai thác các kỹ thuật như ClickFix và ConsentFix, lợi dụng hành vi người dùng thay vì lỗ hổng kỹ thuật để vượt qua đào tạo an ninh truyền thống. ConsentFix lợi dụng quy trình ủy quyền OAuth của Microsoft 365, chiếm token phiên người dùng mà không cần mật khẩu hay vượt qua MFA, với hướng dẫn chi tiết đã được đăng tải công khai trên diễn đàn tội phạm mạng Nga vào đầu năm 2026.
Lập trình viên nên đọc bài này để hiểu cách hacker exploit các lỗ hổng trong giao diện người dùng và cơ chế xác thực OAuth, giúp họ dự phòng, phát hiện và bảo vệ ứng dụng của mình trước các tấn công mới như ConsentFix.
Troy Hunt and Scott Helme have launched 'Why no Passkeys?', a site inspired by their 8-year-old 'Why no HTTPS?' project that publicly tracked websites failing to implement HTTPS. The new site aims to similarly shame companies that haven't adopted passkeys, encouraging community pressure by country. Scott built the project largely solo using Claude Code, following Troy's original intent after a phishing incident prompted him to register the domain.
The UNC1151 (Ghostwriter) threat group ran a targeted phishing campaign against Belarusian pro-democracy politician Yury Hubarevich using a fake Google account-security warning in Russian. The attack chain used a compromised Ukrainian site to redirect victims to a fake Gmail login page that employed a real-time WebSocket connection to capture credentials and MFA codes, effectively bypassing SMS-based and OTP multi-factor authentication. Researchers at Censys traced the campaign through certificate artifacts and infrastructure pivoting to a broader phishing network targeting users in Belarus and Ukraine, including users of regional portals. Key takeaways for security teams include prioritizing phishing-resistant MFA (hardware keys/passkeys) for high-risk users, training users to verify account warnings via official channels rather than email links, and monitoring certificate reuse and domain naming patterns to uncover related phishing infrastructure.
Cyble Research and Intelligence Labs has identified a new Android malware family called Glitch SPY, distributed via a fake Polish apartment rental website that tricks users into sideloading an APK. The dropper is the known Brokewell Android Loader, which installs the Glitch SPY payload. Once installed, the RAT abuses Android Accessibility Service to auto-grant permissions and supports over 70 C&C commands covering live screen streaming, keylogging, SMS/contact/call log theft, camera and microphone surveillance, file management, shell execution, and remote browser control. A crypto-clipper module silently replaces copied cryptocurrency wallet addresses (ETH, TRON, Bitcoin) with attacker-controlled ones. A hidden remote browser runs on the victim's device using their IP and cookies, enabling stealthy web-based account takeover. The Builder module allows operators to generate customized payloads with configurable names, icons, and decoy URLs, indicating a reusable multi-campaign platform still under active development.
OpenClaw (formerly Clawdbot/Moltbot) is a fast-growing AI agent ecosystem that lets users automate tasks using natural-language 'skills' from a marketplace called ClawHub. Around 530 vulnerabilities have been discovered in under two years, many involving sensitive data storage and excessive privilege issues. Malicious skills pose a supply-chain-like threat — over 1,100 malicious accounts have been created since January 2026, distributing 600+ harmful skills before any security scanning was in place. OpenClaw has since partnered with VirusTotal and NVIDIA's SkillSpector for preliminary scanning, but attacks continue. Recommended mitigations include isolating the agent from critical infrastructure, scanning all incoming skills, monitoring network access, and enforcing a comprehensive AI usage policy.